【大阪開催】 AWS re:Inforce 2025 振り返り勉強会にて「AWS WAF と Certificate Manager のアップデートを試してみた」というタイトルで登壇しました！ #reInforce_osaka

こんにちは、クラウド事業本部 コンサルティング部の荒平(@eiraces)です。

【大阪開催】AWS re:Inforce 2025 振り返り勉強会にて、「AWS WAF と Certificate Manager のアップデートを試してみた」というタイトルで登壇しましたので資料を公開します。

資料

厳密にはre:Inforce 2025の直前アップデートになるのですが、私からはACMとWAFについてのアップデートを紹介させていただきました。

紹介したアップデートの一覧

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-certificate-manager-public-certificates-use-anywhere/

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-web-application-security-configuration-steps-expert-level-protection/

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-automatic-application-layer-ddos-protection/

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-general-availability-resource-level-ddos-protection-alb/

補足

Amazon Certificate Managerのアップデートは、これまでEC2やECS、オンプレミスにACM発行の証明書を導入することができず、どうしても外部の発行者に頼らざるを得ないシーンがちらほらありました。
が、今後は手軽にエンドツーエンド暗号化にACMのマネージド証明書が利用できます。

このオプションはこれまで発行した証明書ではセキュリティの理由からエクスポートは利用できず、今後発行される証明書でオプションが表示される仕様のため注意が必要です。

WAFのアップデートからはコンソールのアップデートとDDoS保護についてご紹介。

新しく登場した保護パックについては、選択によって保護される内容が異なるので、詳しくは以下のブログも要チェックです。

https://dev.classmethod.jp/articles/waf-protection-pack/

AWS WAFによるDDoS保護は2パターンあり、「リソースレベルのALB保護」と「マネージドルールによる保護」が新しく出ました。

リソースレベルのDDoS保護は現状ALBでしか利用できないものの、デフォルトでDDoS攻撃を受けた際の保護が適用されるようになったので、すごくいいアップデートだと思います。

https://dev.classmethod.jp/articles/aws-waf-automatic-application-layer-ddos-protection/

最後にDDoS保護の想定利用者です。AWS Shield Advancedを適用するほどの規模ではないが、手軽に対策をしておきたい事業者の方にオススメです。

おわりに

re:Inforceの個人的オススメアップデートについて、クラスメソッド大阪オフィスのイベントでお知らせしました。
どちらも身近なサービスでかつ、インパクトの大きなアップデートが来たので面白いですね。

セッション中は触れられなかったのですが、DDoS保護マネージドルールのWCUは50と少ないので、どのWAF ACLにも差し込んでおくべきかと思います。是非導入をご検討ください。

このエントリが誰かの助けになれば幸いです。
それでは、クラウド事業本部 コンサルティング部の荒平がお送りしました！